情報漏えいの原因のひとつ「SQLインジェクション」ってどんな手口!?
年々増加するサイバー攻撃。 自社は攻撃対象にはなるまい・・・と思っていたところに、攻撃を仕掛けられ被害にあうというケースも全く珍しくありません。 本資料では情報漏えいを引き起こすサイバー攻撃のうちのひとつである「SQLインジェクション攻撃」の手口について、マンガ付きでわかりやすく説明しています。 ●資料:おしえて!WAFくん WAFで防げる攻撃 SQLインジェクション編 Webサイト/サービスからの情報漏えいを防ぐためには「脆弱性のないWebサイトを作ること」と「外部からの脅威を受け付けない対策をしておくこと」が重要です。 Webサイトに脆弱性があると本来の意図でない「SQL」文がつくられ、データベースへの不正アクセスやクレジットカードなどの個人情報が盗まれる原因となります。 本資料では、機密情報を盗むことを可能とするサイバー攻撃の一つである「SQLインジェクション」を例に、実際に攻撃者が
ガートナーのアナリストが選ぶ、データサイエンスと機械学習の最新トレンド10選
「3つのD」が示すAIの最新トレンド Gartner バイス プレジデント アナリスト カーリー・アイディーン氏 講演の冒頭でアイディーン氏は「今、AIは複雑なものになってきたと同時に、とても面白い段階にある」と語った。同氏は講演の中で10のトレンドを取り上げ、それぞれを「Democratized:民主化」「Dynamic:ダイナミズム」「Data-Centric:データ中心」の3つのDで整理した(図1)。 図1:データサイエンスと機械学習の将来を示す3つのD 出典:ガートナー 1つ目のDは、データサイエンスや機械学習を組織の中のあらゆる人たちが使えるようにする「民主化」である。ややもすれば、機械学習モデルのライフサイクルにおける大半の仕事が、データサイエンティストだけが担うものと捉えられてきた。ほとんどの社員にとって、データサイエンスは敷居の高い存在であり、専門家に任せた方が合理的と思え
セキュリティ責任者が取り組むべき7つのトレンド ガートナーが発表
ガートナージャパンは、2022年以降のセキュリティリスクに対処するため、セキュリティ責任者が自社の取り組みに反映すべき、以下7つのトップ・トレンドを発表した。 攻撃範囲の拡大 IoTやオープンソース、クラウドやソーシャルメディアなどの制御可能な一連の企業資産の範囲外で企業が一層攻撃にさらされているため、従来型のアプローチ以上に、より広範囲にわたるセキュリティ・リスクを管理すべきという。 デジタル・サプライチェーンのリスク 2025年までに全世界の組織の45%がソフトウェア・サプライチェーンに対する攻撃を経験し、その割合は2021年から3倍に増加すると同社は予測している。 アイデンティティ脅威検知/対応の見極め 攻撃者がアイデンティティ/アクセス管理(IAM)インフラストラクチャを積極的に狙い、認証情報の不正利用が主要な攻撃経路となっているとのこと。 意思決定の分散化 サイバーセキュリティに
マイクロソフト、Teamsを起点とした新ツール「Microsoft Viva」を発表
米現地時刻2月4日、マイクロソフトは「Microsoft Viva」発表に関するブログを公開した。本記事は、その抄訳である。 同社は、Employee Experience Platformである「Microsoft Viva」を2月4日に発表した。同ソリューションは、コミュニケーションや学習体験などを統合したものである。これにより、人々やチームがどこにいても最善の結果を出せるよう支援することができるという。 新たな種類の従業員体験 最初の段階では、Viva Connections、Viva Insights、Viva Learning、Viva Topicsという4つのモジュールが含まれている。今後、モジュールの追加が行われていく予定だとしている。 Viva Connections Microsoft Teamsからアクセス可能な、社員間のつながりとコミュニケーションのための入口を提供す
夜の渋谷で繰り広げられた「本音のセキュリティ」─ DeNA、LINEの取り組み
10月16日、DeNA主催によるイベント「Security×Discussion~#1.DeNA・楽天・LINEとセキュリティについて語る夜~」が開催された。「もっと気軽にセキュリティに触れる場を作りたい」というDeNAの提案により開催されたイベントで、この主旨に賛同した楽天およびLINEが参加した。仕事の後に参加できるようにと19時から開始された本イベントでは、DeNA、楽天、LINEがそれぞれ20分の持ち時間で講演を行い、その後、3社によるパネルディスカッション、懇親会というスケジュールとなっていた。ここでは、DeNA、LINEの講演の模様をレポートする。 セキュリティポリシーの大改定で気づいたポイント 盛況となったイベント会場 最初に登壇したのは、DeNAのセキュリティ推進グループのグループリーダーである岡村隆行氏。「セキュリティポリシーの大改定」というタイトルで講演を行った。岡村氏
AWSでセキュリティを高めるために今すぐやるべき7つのこと
まずは鉄板の重要なドキュメントとツールから AWSのネイサン・ケース氏は冒頭の自己紹介で「セキュリティを担当しています。例えば月曜日の朝、GitHubにお客様のAWSクレデンシャルが……というケースに対応することもあります」と述べた。ケース氏はそれ以上の説明は省略したが、重要なことなので補足しておこう。 Amazon Web Services, Inc. AWS Security Strategist ネイサン・ケース氏 GitHubでは多くのソースコードが共有されている。開発者が有用なモジュールをみんなと分かち合うのはとてもいいことだ。しかし、たまにうっかり、ソースコードにAWSのアクセスキーやクレデンシャルなどが混入されたまま公開されていることがある。会社の鍵を公共の場に放置しているようなものだ。 ハッカーは常時GitHubを探索していて、GitHubにあるソースコード内に認証情報があ
社長に「明日からAIを入れろ」と言われたが「使えるデータがない」問題をどうするか
データ整備の課題を解決するには「IBM InfoSphere Information Server」 日本アイ・ビー・エム 四元菜つみ氏 AI花盛りである。大きな期待を抱いて導入に踏み出す企業もいる。意気揚々と「うちには膨大なデータがある。だからAIを導入したら、すぐにでもビジネスは一変し、ライバルに大きな差をつけられるだろう」と見込んだものの、多くの企業は「ある壁」に直面する。それは「すぐに使えるデータがない」ということだ。 AIは最初から頭脳明晰ではない。学習して徐々に賢くなっていく。賢くなるにはデータが必要だ。AIにとってデータとは人間の成長に必要な栄養のようなもの。データがなければAIは学習できず、正しい回答を出せなければAIは無用の長物になってしまう。 IBMがこれまで手がけた数多くのWatsonプロジェクトを振り返り調査したところ、企業が持つデータのうち、すぐに利用できたデータ
「AI活用の壁」をどう乗り越えるか?――成功から失敗までを知りつくす3人が語る!
「企業でAIにすぐ使えるデータはまだ30%しかない」の現実味 左から、谷川耕一氏、平井明夫氏、野間愛一郎氏 谷川:DB Onlineチーフキュレーターの谷川です。企画、取材、執筆などしています。今日は現場を取材した話などを紹介できると思っています。まずはパネラーのお二人、自己紹介をお願いします。 平井:BI構築から企業データ分析などに関わってきました。他にもコンサルタントやアナリスト、リサーチの仕事もしています。 野間:日本IBM の野間です。ここ10年ほど、IBMでデータベース界隈で技術支援や提案活動をしています。ベンダーの立場からの参加ですが、お客様の声を代弁する立場でも参加できると面白いかなと思っています。 谷川:まずはこちら、1ヶ月前の記事をご覧ください。IBMのプレス発表を記事にしたものです。「AIで使えるデータが30%」ということで、30%という数字が衝撃的だったのか、よく読ま
企業はコンテナを真剣に検討すべき時がきている (1/2):EnterpriseZine(エンタープライズジン)
コンテナは仮想マシンを置き換えるものではない ガートナージャパン リサーチ&アドバイザリ部門 テクノロジ&サービス・プロバイダー インフラストラクチャ ソフトウェア担当 シニア ディレクター アナリスト 桂島 航氏 Kubernetesは、Linuxコンテナの操作を自動化するためのオープンソース・ソフトウェアであり、コンテナ化したアプリケーションのデプロイ、スケーリング、管理が行えるコンテナオーケストレーションのシステムだ。コンテナオーケストレーションの仕組みとしては、実質的な業界標準のソフトウェアとなっている。 アプリケーションの開発、実行のためのプラットフォームとして、Dockerなどのコンテナが盛んに使われるようになった。背景には、企業が自社データセンターの利用を減らし、外部のクラウドサービスなどを利用するようになったことがある。さらにクラウドの利点を最大限に活かすクラウドネイティブ
F-Secureのミッコ・ヒッポネン氏が説く「サイバー犯罪者が仮想通貨を狙う理由」 (1/2):EnterpriseZine(エンタープライズジン)
今年で6回目を迎える「CODE BLUE」。会期中はCTF(Capture The Flag)のほか、自動攻防戦を競うサイバーセキュリティチャレンジ、仮想通貨を盗み出すスマートコントラクトのハッキング、車載ネットワークをハッキングなど6つの公式コンテストが開催された。 インターネットは「ユートピア」から「悪夢」に 11月1日の基調講演には、フィンランドのF-Secureで研究所主席研究員のミッコ・ヒッポネン(Mikko Hypponen)氏が登壇。「Cyber Arms Race」と題し、サイバー攻撃が犯罪組織のツールとして“有用”であることを指摘。「サイバー攻撃はわれわれの社会生活すべてに影響を与える存在になった。こうした攻撃に対しては、国家組織や民間企業の垣根を取り払って対峙していくことが重要だ」と訴えた。 フィンランドのF-Secureで研究所主席研究員のミッコ・ヒッポネン(Mikk
「惑わされないセキュリティ人材育成」をやってみよう 教育現場からのアドバイス――東京電機大学 猪俣敦夫教授 (1/3):EnterpriseZine(エンタープライズジン)
セキュリティ人材、迷走然々 情報の価値で重要なのは「情報のTTL(生存時間)」 東京電機大学 未来科学部 情報メディア学科 猪俣 敦夫 教授 東京電機大学の猪俣です。奈良先端大や大阪大学でも教育や研究活動をしています。セキュリティ関係では一般社団法人JPCERTコーディネーションセンターで理事、一般社団法人公衆無線LAN認証管理機構では代表理事もしております。元々は数学科出身で暗号を中心として今も教育、研究を続けています。その中でも楕円曲線暗号は長い時間私たちの生活において日の目を見なかった悲しい分野でしたが、ブロックチェーンをはじめとした分野でようやく実を結んできたと感じているところです。今日は関西で長年人材育成をしてきた経験を踏まえ、教育の立場での話をしていきます。 セキュリティ人材はいま盛り上がり過ぎて、何かおかしなことになっていないでしょうか。いろんな「かだい」があります。まずは「
データという水を得た魚となり情報科学の研究へ――Sansan DSOC 奥田裕樹さん (1/3):EnterpriseZine(エンタープライズジン)
生物学にデータ分析が加わり研究への熱量が増加 Sansan Data Strategy & Operation Center R&D Group 研究員 奥田裕樹さん 奥田さんは高校卒業後、東京海洋大学へ進学した。学部では魚をメスで解体したり、顕微鏡で観察したりと、いわゆる生物学を学んでいた。しかし、当時の生物学に対する熱意について本人としては「さほど高くはなかったです」と振り返る。奥田さんは「高校が進学校でしたのでいろいろと勉強しました。物理、化学、生物、どれも好きで、結局決めきれないまま……(進学した)」と話す。 受験当時、親の趣味が影響してダイビングの経験があったという奥田さん。ライセンスを取り、沖縄や海外の海を潜ったことも。一般的な10代と比べると、海や魚と触れ合う機会に恵まれていた。「生きものは好きです。海も好き。だから海洋大への進学や大学院でのバイオインフォマティクスの研究につ
改めて知る「Kubernetes」とは何か――複数コンテナを扱うならこれ一択、30分で立ち上げられるサービスも
なぜコンテナオーケストレーションが必要なのか これまでのITシステムに対するニーズは、既存ビジネスや企業内のバックオフィス業務を効率化するところにあった。しかし昨今では、新しいビジネスを生み出したり、新しいビジネスチャンスを見つけるために、ITシステムを積極的に活用していこうという機運へと移り変わっている。これを別の角度から見ると、かつては数年単位でアップデートすればよかったシステムから、スマートフォン向けアプリのように、12ヶ月未満という短いライフサイクルで、頻繁にアップデートするアプリケーションが求められるようになったことを意味している。 このような高頻度リリースを実現するための開発トレンドとして、「マイクロサービスアーキテクチャ」や「継続的インテグレーション/デリバリー」(以下、CI/CD)といったものがある。大規模なシステムを疎結合な複数のサービスの組み合わせで実現するマイクロサー
あのaiboでも使われているソニーのDeep Learning技術が無償で利用できる (1/3):EnterpriseZine(エンタープライズジン)
今のAIブームで重要な役割を果たしているのが、Deep Learningだろう。先日札幌で行われた「db analytics showcase Sapporo 2018」では、Deep Learningに関するセッションも多数行われた。そんな中、ソニーのDeep Learningへの取り組みについて紹介したのが、ソニー株式会社 R&D プラットフォーム システム研究開発本部 要素技術開発部門 AIコア技術開発部 7課 シニアマシーンラーニングリサーチャーの小林由幸氏だ。 Deep Learningが人の能力を超えた ソニー株式会社 R&D プラットフォーム システム研究開発本部 要素技術開発部門 AIコア技術開発部 7課 シニアマシーンラーニングリサーチャー 小林由幸氏 小林氏は、Deep Learningの登場で画像認識の精度が格段に向上したという話から始めた。 「Deep Learni
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
データサイエンス初学者向け学習環境「データサイエンス100本ノック(構造化データ加工編)」が公開
定義されなかったセキュリティ対策
社会インフラをサイバー攻撃から守る――中部電力グループが取り組むサイバーセキュリティ (1/3):EnterpriseZine(エンタープライズジン)
セキュリティが本業ではない企業のセキュリティ投資、人材はこう考えよ――ANAシステムズ阿部恭一氏が指南 (1/3):EnterpriseZine(エンタープライズジン)
『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化
研究職ではないエンジニアでもここまでできる!若きデータサイエンティストが国際学会から学んだこと――リクルート 風間正弘さん
